サイバーリスク 2019:知っておくべき 6 つのトレンド
© Andrew Brookes / Getty Images

サイバーリスク 2019:知っておくべき 6 つのトレンド

Munich Re is one of the world’s leading providers of reinsurance, primary insurance and insurance-related risk solutions. The corporate group consists of the reinsurance and ERGO business segments, together with the capital investment company, MEAG. The Group operates in all lines of insurance. Ever since it was founded in 1880, Munich Re has been known for its unrivalled risk-related expertise and its particularly sound financial position. It also offers its clients financial protection when faced with extraordinarily high levels of damage – from the 1906 earthquake in San Francisco right through to the series of Atlantic hurricanes that occurred in 2017. Munich Re possesses outstanding innovative strength, which enables it to also provide cover for extraordinary risks such as rocket launches, renewable energies, cyber attacks or pandemics. The company is playing a key role in driving forward the digital transformation within its industry and in doing so is increasing its ability to assess risks and expanding upon the range of services that it offers. Its tailor-made solutions and close proximity to its clients make Munich Re one of the world’s most sought-after risk partners for the economy, institutions and private individuals.

サプライチェーンへの導入が進む IoT テクノロジー、5G 時代到来による爆発的なデータ量の増加、高まるスマートデバイスの重要性―これらはすべて、世界中の企業に共通する、現代のデジタル化プロセスの一部です。また、全ての潜在的事業機会にはリスクが内在している、という事実も見逃せません。ここでは、増大するサイバーリスクと関連トレンドについて、当社専門家による解説をご紹介します。

5G の普及に伴い、サイバー攻撃への脆弱性も高まります。 

A medida que se expande el 5G, aumenta la vulnerabilidad a ciberataques © mauritius images / Science Photo Library / Sergii Iaremenko
データ伝送速度が1 ギガバイト/秒 (Gbps)の4G(LTE)モバイル通信規格は、その時代を終えつつあります。言うまでもなく、これは10 Gbpsという、驚くべき伝送スピードを持つ5Gの時代が始まることを意味します。文字通り「爆発的な」データ量の急増にともない、5Gならびに5G関連のネットワークインフラ市場の規模は、2018 年の 5 億 2 ,800万米ドルから、2022 年には 260 億米ドルに拡大する見込みです。このような5G 時代の到来にともない、次の1年で予想される通信産業の急激な拡大や、5G 対応のデバイスの増加が見込まれ、 サイバー攻撃を受ける可能性はますます高まります。

5Gの導入にともない、大量のデータをバックアップしたり、クラウド環境で使用する利便性は高まりますが、同時に新たなサイバー攻撃のリスクが生じます。特に、データ交換に中央ルーターを必要としない IoT デバイスは監視が困難であり、また直接的なサイバー攻撃に対しより脆弱です。言い換えると、リスク分析の結果や攻撃耐性を重視したセキュリティ対策が、より重要となるのです。

「常にオン」である環境にようこそ

Bienvenidos al entorno “siempre encendido” © Getty Images
モノのインターネット(IoT)社会では、常にオンであることの意味が再定義されました。スマートデバイスは、人と人をつなぐだけではなく、デバイス同士が常にやり取りします。  このようなモバイルデバイス同士のコラボレーション、音声対応のデジタルアシスタント機能、かつてないデータ収集、クラウドコンピューティング・リソースの配信によって、相互の関連性が全くの新次元に到達しており、現在稼働中のサプライチェーンも再定義が必要となっています。

このような進歩によって、複雑さのレベルが上がり、保護されないデータ交換がかつてないほど増加し、製造工程や重要インフラに現実的な脆弱性が生じ、これは同時に、事業中断による損失のリスクが高まることを意味します。また、ネットワークを形成するデバイスの数が膨大になり、そこで日々データ伝送が行われるということは、データ漏洩の発生個所の特定がより困難になることを意味します。これら新しいエコシステムに対する理解が、従来以上に重要となっており、今後もIoT ビジネスに取り組む上で、現在のリスク耐性を維持するためには、いくつかの課題をクリアする必要があります。前進に必要とされる主要な鍵は、保護すべきデバイスがどこにあるのか、どのようなデータが生成されているのか、デバイスへのアクセスが正当なのか、誰がどのような理由でアクセスするのか、などのを情報を把握することです。

ランサムウェアの減少は、より洗練されたサイバー攻撃の増加を示唆します

Una caída en los cibersecuestros de datos apunta a un enfoque más sofisticado © AFP Contributor / Getty Images
ランサムウェア攻撃は減少傾向をたどる見込みですが、これは主に、ランサムウェアの変種がより洗練された攻撃をしかけているからと思われます。まず、さまざまな手段で攻撃をしかけるパターンが増加します。フィッシング、ランサムウェア、クリプトジャッキングのなど、複数の脅威の組み合わせを、従来型のソフトウェアやモバイル・ランサムウェアによるハッキングと組み合わせて使用するパターンが想定されます。次に、フィッシングやマルウェアのメール送信が最も一般的な攻撃手段であり続ける一方で、ユーザーのデバイスとクラウドを狙うランサムウェアはインフラそのものの脅威となり、大規模な保険損失をもたらす可能性があります。さらに厄介なのは、サイバー犯罪者がより先鋭化していることであり、今後は、より忍耐強く、より注意深く、サイバー攻撃に目を光らせる必要があります。また、サイバー犯罪者同士の協力関係も深まっており、組織間の統合が進んだことで、少数の強力な「マルウェア企業」が誕生し、大規模な混乱や重大な損失を招くサイバー攻撃のリスクが高まっています。

クリプトジャッキング対策

 Presentamos al cryptojacking © dpa Picture Alliance / AA/ABACA
2019 年に仮想通貨の価格が高まれば、クリプトジャッキングがサイバー犯罪に占める割合が、ランサムウェアを上回るでしょう。クリプトジャッカーは、不正アクセスしたコンピューターを悪用し、ユーザーが気付かぬうちに利益を上げます。クリプトジャック・ウェアがフルに機能している状態では、そのコンピューターの CPUが犯罪者のためにマイニングを行います。この状態では、コンピューターやネットワークのリソースがマイニングに費やされ、処理速度が遅くなり、システムが不安定になります。作業効率が下がるばかりか、オーバーヒートやシステムダウンのリスクも高まります。これにより生産性が失われ、深刻な電源喪失が起きる可能性もあります。

他のサイバー犯罪とくらべハードルが低く、セットアップに要する時間が少ない上に、ランサムウェアなどと比べ追跡が困難でありながら、その一方でより高い利益が得られるため、クリプトジャッキングはハッカーにとって非常に魅力的な技術と言えます。2019年は、サイバー保険業界にとってクリプトジャッキングを超える大きな脅威が見当たらないほどです。

法や規制の強化が見込まれる 

 Se anticipa más legislación y regulación © CherriesJD / iStock / Getty Images Plus
EU の一般データ保護規則(GDPR)に類似した法律が、2020年の初めにカナダ、カリフォルニアおよびブラジルで施行されます。それと並行して、シンガポールとインドが、データ漏洩の報告制度の導入を検討しています。ロシアや中国をはじめ、クラウド規制もグローバルに強化される見込みです。新しい法律が相次いで導入される今日、厳しい規制が課される企業にとって、取引先のサードパーティーにも、同様に法や規制の遵守が求められます。近頃は、リスクオーナーや中小企業が法への理解を高める取り組みが増えていますが、知識やリソースが不足しているため、遵法対応が遅れています。専門家は、このような対応の遅れにより、GDPR違反のデータ・インシデントが、 2019 年末までに倍増すると予想します。これには、サイバー保険業者も規制環境や監督行政の変遷に、対応する努力を怠らないようにすべきです。

サプライチェーンはサイバー犯罪の標的であり続ける                          

 Las cadenas de suministro continuarán siendo el blanco © XYZ
サプライチェーンやサービスプロバイダーへの攻撃は、その頻度も影響も高まる傾向が続くと思われます。侵入者は、サプライチェーン全体でソフトウェアやハードウェアの新たな脆弱性を探し、より先進的な悪用手段を模索し続けます。サードパーティーによる情報漏洩、偶発的な事業中断が、一年を通して増加すると専門家は予想します。マルウェアが、正当なソフトウェアパッケージ(アップデートなど)に埋め込まれるパターンが、特に要注意です。これは、ソフトウェアベンダーや、サードパーティーであるサプライヤーの製造段階で発生する可能性があります。ハードウェアのサプライチェーンを感染させるチップや、ファームウェアにソースコードを埋め込むなどのリスク事例が増加しています。データ漏洩、偶発的な事業中断など、重大な保険損失となり得る事例は、セキュリティ保証や既存の SLA (サービスレベル合意書)が、深刻なケースには対応できていない証拠です。このため、2019年は利益損害・営業継続費用保険の重要性が、 かつてないほど高まっています。サーバー攻撃の関連損失に加え、サードパーティーや自社に課される規制要件をカバーする利益損害・営業継続費用保険は、データ漏洩保険と比べ、多くのケースでその重要が増しています。これは、契約において事業中断など多額の補償義務を課される中小企業が、より独立型の保険契約を選考するトレンドを示しています。
地理的な条件や業界を問わず、サイバー攻撃の情報収集やサイバーリスクの認識は、引き続き重要な課題です。Munich Re 社では、広範囲に渡る事前・事後のサービス提供や、最も先を見据えたサイバー保証、アプリおよび保険引受プラットフォームの提供を通し、お客様単位のニーズ合わせた最適のソリューションをお届けしてまいります。

当社の専門家
Martin Kreuzer
Martin Kreuzer
Loss Control Consultant Claims